DarkGate 恶意软件正在通过微软群聊进行大肆传播

安全
据AT&T Cybersecurity 的研究显示,有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件,从而在受害者系统中安装 DarkGate 恶意软件。

据AT&T Cybersecurity 的研究显示,有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件,从而在受害者系统中安装 DarkGate 恶意软件。

据统计,攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求,攻击者会诱骗他们下载一个使用双扩展名的文件,文件名为 "Navigating Future Changes October 2023.pdf.msi",这是 DarkGate 常用的伎俩。

安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器,Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。

由于在默认情况下,微软允许外部 Microsoft Teams 用户向其他用户发送消息,这才给了这种类型的网络钓鱼攻击可乘之机。

AT&T Cybersecurity 网络安全工程师Peter Boyle认为:除非日常的必要业务需使用,否则他建议大多数公司禁用 Microsoft Teams 中的外部访问,因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样,很可能不是那种典型的电子邮件钓鱼诈骗形式。

网络钓鱼群聊  图片来源: AT&T 网络安全

Microsoft Teams 拥有数量庞大的 2.8 亿用户,是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点,通过 Microsoft Teams 推送恶意软件。

去年也出现过类似的活动,恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。

Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络,还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输,攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷,

APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门,它利用这种方式攻击了全球数十个组织,包括政府机构。

DarkGate 恶意软件攻击激增

自去年 8 月 Qakbot 僵尸网络被捣毁后,网络犯罪分子更多地转向 DarkGate 恶意软件加载器,将其作为初始访问企业网络的首选。

而就在 Qakbot 僵尸网络被攻陷之前,有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称,它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。

在开发者发布消息后,就出现了越来越多的 DarkGate 攻击事件,网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-11-24 13:57:28

2021-04-08 20:48:00

Purple Fox恶意软件Windows设备

2020-06-10 10:20:42

网络攻击移动设备广告软件

2010-07-28 16:02:51

2023-12-15 09:54:46

2022-05-23 13:36:31

恶意软件网络攻击

2023-04-23 20:47:23

2023-03-03 18:43:18

2022-08-31 08:24:19

恶意软件网络攻击

2010-08-04 15:02:54

2022-03-31 09:35:36

透明部落恶意软件网络攻击

2020-08-21 07:57:13

软件开发程序员

2021-12-07 18:39:19

黑客虚假广告恶意软件

2021-10-18 13:10:41

勒索软件攻击信息安全

2021-06-16 14:56:09

恶意软件微软网络攻击

2021-04-15 09:58:45

恶意广告TikTok网络犯罪

2016-01-11 10:44:38

恶意软件恶意软件分析

2018-04-09 10:24:31

2023-07-17 18:01:35

点赞
收藏

51CTO技术栈公众号